Tettnang - Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik haben alle Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 vor der neuen Variante des Internet-Wurms Sober.O gewarnt. Wie seine Vorgänger verbreitet sich der Schädling mit sehr hoher Geschwindigkeit über diverse Spamlisten. Das Schadens- und Verbreitungspotential dieser Sober-Variante wird von den Virenexperten als eine sehr groß eingeschätzt.

Worm/Sober.O hat eine Größe von 73.541 Bytes. Er besitzt, wie auch seine Vorgänger, eine eigenen SMTP Engine. Als SMTP Engine bezeichnen Antivirenhersteller ein Programm, das selbständig E-Mails verschicken kann. Wird Worm/Sober.O ausgeführt, öffnet dieser den Editor / Notepad und zeigt den Text "UnPack failed" an, gefolgt von diversen Zeichenketten. Der Computervirus fügt der Windows Registry bestimmte Einträge hinzu, damit dieser beim nächsten Systemstart automatisch gestartet wird.

Eine von Worm/Sober.O versandte E-Mail hat folgendes Aussehen:

Absender (FROM): %spoofed%
Betreff (SUBJECT): I've_got your EMail on my_account!
Emailtext (BODY):
Hello,

First, Very Sorry for my bad English.

Someone is sending your private e-mails on my address. It's probably an e-mail provider error! At time, I've got over 10 mails on my account, but the recipient are you.

I have copied all the mail text in the windows text-editor for you & zipped then. Make sure, that this mails don't come in my mail-box again.

bye
Anhang (ATTACHMENT): your_text.zip

Wird der Anhang der E-Mail entpackt, wird die Datei "mail.document.Datex-packed.exe" erstellt. Die Experten empfehlen, E-Mails mit entsprechender Betreffzeile, die den Wurm transportieren, nicht zu öffnen, sondern sofort zu löschen.